CCRC-QOT-0428-B-4-風險評估.doc

CCRC-QOT-0428-B/4 信息安全風險評估服務(wù)資質(zhì)認證自評估表信息安全風險評估服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立信息安全風險評估服務(wù)流程。按照相關(guān)標準建立的信息安全風險評估服務(wù)流程，流程圖中應(yīng)包括每個階段對應(yīng)的職責、輸入輸出等。2.制定信息安全風險評估服務(wù)規(guī)范并按照規(guī)范實施。已制定的信息安全風險評估服務(wù)規(guī)范。3.基本資格僅三級要求：至少有一個完成的風險評估項目，該系統(tǒng)的用戶數(shù)在1,000以上；具備從管理或（和）技術(shù)層面對脆弱性進行識別的能力。一個已完成項目的合同、用戶數(shù)、驗收的證明材料，包括管理或（和）技術(shù)層面脆弱性識別的材料。4.僅二級要求：針對多種類型組織，多行業(yè)組織，至少完成一個風險評估項目，該系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術(shù)層面對脆弱性進行識別的能力。一個已完成項目的合同、用戶數(shù)、驗收的證明材料，包括管理和技術(shù)層面脆弱性識別的材料。5.僅一級要求：能夠在全國范圍內(nèi)，針對5個（含）以上行業(yè)開展風險評估服務(wù)；至少完成兩個風險評估項目，該系統(tǒng)的用戶數(shù)在100,000以上；具備從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進行識別的能力。5個已完成項目的合同、用戶數(shù)、驗收的證明材料，從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進行識別的材料。6.僅三級要求：具備跟蹤信息安全漏洞的能力跟蹤信息安全漏洞的證明材料7.僅二級要求：具備跟蹤、驗證信息安全漏洞的能力。跟蹤、驗證信息安全漏洞的證明材料8.僅一級要求：具備跟蹤、驗證、挖掘信息安全漏洞的能力。跟蹤、驗證、挖掘信息安全漏洞的證明材料。9.準備階段-服務(wù)方案制定編制風險評估方案、風險評估模板，并在項目實施過程中按照模板實施。信息安全風險評估方案、風險評估模板。10.應(yīng)為風險評估實施活動提供總體計劃或方案，方案應(yīng)包含風險評價原則。已完成項目的風險評估方案，方案中應(yīng)包含風險評價原則。11.僅二級/一級要求：應(yīng)進行充分的系統(tǒng)調(diào)研，形成調(diào)研報告。已完成項目的系統(tǒng)調(diào)研報告，報告中對被評估對象有清晰的描述。12.僅二級/一級要求：宜根據(jù)風險評估目標以及調(diào)研結(jié)果，確定評估依據(jù)和評估方法。已完成項目的風險評估實施方案中應(yīng)根據(jù)目標及調(diào)研結(jié)果，明確評估依據(jù)和評估方法，評估依據(jù)和評估方法符合國家標準、行業(yè)標準及相關(guān)要求。13.僅二級/一級要求：應(yīng)形成較為完整的風險評估實施方案。14.準備階段-人員和工具管理應(yīng)組建評估團隊。風險評估實施團隊應(yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。已完成項目的風險評估方案中對風險評估實施團隊成員及團隊構(gòu)架的介紹。15.應(yīng)根據(jù)評估的需求準備必要的工具。已完成項目的風險評估方案中對評估工具的介紹，工具列表及主要功能描述。16.應(yīng)對評估團隊實施風險評估前進行安全教育和技術(shù)培訓(xùn)。項目實施前的安全教育及技術(shù)培訓(xùn)的證明材料，如啟動會的PPT，PPT中包含培訓(xùn)的內(nèi)容，以及其他可證明對其安全教育、技術(shù)方面培訓(xùn)的材料。17.僅二級/一級要求：需采取相關(guān)措施，保障工具自身的安全性、適用性。工具的安全測試證明材料；定期或工具軟件有重大版本變更時，對工具軟件進行適用性確認的測試記錄。18.僅一級要求：需采取相關(guān)措施，保障工具管理的規(guī)范性。已制定的工具管理制度及執(zhí)行記錄。19.風險識別階段-資產(chǎn)識別參考國家或國際標準，對資產(chǎn)進行分類。參照已發(fā)布的標準，形成的資產(chǎn)分類列表。20.識別重要信息資產(chǎn)，形成資產(chǎn)清單。已完成項目的重要資產(chǎn)清單。21.對已識別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求。已完成項目的重要資產(chǎn)的三性等級要求列表。22.對資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級分析結(jié)果，經(jīng)過綜合評定進行賦值。已完成項目的重要資產(chǎn)賦值表。23.僅一級要求：識別信息系統(tǒng)處理的業(yè)務(wù)功能，重點識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。已完成項目中識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。24.僅一級要求：根據(jù)業(yè)務(wù)特點和業(yè)務(wù)流程識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。已完成項目中識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。25.僅一級要求：識別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。已完成項目中對處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識別分析證明材料。26.風險識別階段-脆弱性識別應(yīng)對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當?shù)墓ぞ哌M行核查，并形成安全管理或技術(shù)脆弱性列表。已完成項目中對脆弱性識別時使用的工具列表、管理或技術(shù)脆弱性列表。27.應(yīng)對脆弱性進行賦值。已完成項目的脆弱性賦值列表。28.風險識別階段-威脅識別應(yīng)參考國家或國際標準，對威脅進行分類；威脅分類清單。29.應(yīng)識別所評估信息資產(chǎn)存在的潛在威脅；已完成項目中的威脅識別清單。30.應(yīng)識別威脅利用脆弱性的可能性；已完成項目中分析威脅利用脆弱性可能性的證明材料。31.應(yīng)分析威脅利用脆弱性對組織可能造成的影響。已完成項目中分析脆弱性發(fā)生對組織造成影響的證明材料。32.僅二級/一級要求：應(yīng)識別出組織和信息系統(tǒng)中潛在的對組織和信息系統(tǒng)造成影響的威脅。已完成項目中對組織和信息系統(tǒng)造成的潛在威脅進行分析的證明材料。33.僅一級要求：采用多種方法進行威脅調(diào)查。已完成項目中采取多種威脅調(diào)查方法的證明材料。34.風險識別-已有安全措施確認應(yīng)識別組織已采取的安全措施；已完成項目中的已識別的安全措施列表。35.應(yīng)評價已采取的安全措施的有效性。已完成項目中分析安全措施有效性的證明材料。36.風險分析階段-風險分析模型建立應(yīng)構(gòu)建風險分析模型。已完成項目的風險評估報告中對風險分析模型的描述，并驗證其可行性、科學性。37.應(yīng)根據(jù)風險分析模型對已識別的重要資產(chǎn)的威脅、脆弱性及安全措施進行分析。已完成項目的風險評估報告中，對威脅、脆弱性及安全措施分析的描述。38.僅二級/一級要求：構(gòu)建風險分析模型應(yīng)將資產(chǎn)、威脅、脆弱性三個基本要素及每個要素各自的屬性進行關(guān)聯(lián)。已完成項目的風險評估報告中對資產(chǎn)、威脅、脆弱性三個基本要素進行關(guān)聯(lián)的證明材料。39.風險分析階段-風險計算方法確定僅三級要求：應(yīng)根據(jù)分析模型確定的方法計算出風險值。已完成項目的風險評估報告中對計算方法的描述，計算得出風險值的過程。40.僅二級/一級要求：在風險計算時，應(yīng)根據(jù)實際情況選擇定性計算方法或定量計算方法。已完成項目的風險評估報告中對評估方法、評價方法、計算方法的描述，計算得出風險值的過程。41.僅二級/一級要求：風險評估報告中應(yīng)對本次評估建立的風險分析模型進行說明，并應(yīng)闡明本次評估采用的風險計算方法及風險評價方法。42.風險分析階段-風險評價應(yīng)根據(jù)風險評價準則確定風險等級。已完成項目的風險評估報告中的評價準則，并根據(jù)評價準則確定風險等級的證明材料。43.僅二級/一級要求：應(yīng)對不同等級的安全風險進行統(tǒng)計、評價，形成最終的總體安全評價。已完成項目的風險評估報告中的安全評價內(nèi)容。44.風險分析-風險評估報告應(yīng)向客戶提供風險評估報告。已完成的所申請資質(zhì)級別要求的風險評估報告，報告中至少包括評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容。45.報告應(yīng)包括但不限于評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容。 46.僅二級/一級要求：風險評估報告中應(yīng)對計算分析出的風險給予比較詳細的說明。已完成項目的風險評估報告中對風險給予詳細說明的證明材料。47.風險處置階段-風險處置原則確定僅二級/一級要求：應(yīng)協(xié)助被評估組織確定風險處置原則，以及風險處置原則適用的范圍和例外情況。已完成項目的風險評估報告或建議報告中對風險處置原則及適用的范圍和例外情況說明的證明材料。48.風險處置階段-安全整改建議僅二級/一級要求：對組織不可接受的風險提出風險處置措施。已完成項目的風險評估報告或建議報告中對組織不可接受的風險提出風險處置措施或建議的證明材料。49.風險處置階段-組織評審會僅一級要求：協(xié)助被評估組織召開評審會。服務(wù)提供者協(xié)助被評估組織組織評審會的證明材料，如會議通知、專家簽到表、專家意見等。50.僅一級要求：依據(jù)最終的評審意見進行相應(yīng)的整改，形成最終的整改材料。已完成項目的專家評審意見、整改措施及其總結(jié)。51.風險處置階段-殘余風險處置僅一級要求：對組織提出完整的風險處置方案。已完成項目的殘余風險處置方案，方案至少包含處置措施、工具、時間計劃等內(nèi)容。52.僅一級要求：必要時，對殘余風險進行再評估。已完成項目中對殘余風險進行再評估的證明材料。53.上一年度提